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@ PROCEDE D'AUTHENTIFICATION A NOMBRE REDUIT DE BITS TRANSMIS. 

(§7) Procede d'authentification a nombre reduit de bits 
transmis. 

On reduit considerablement le nombre de bits de I'enga- 
gement envoye par I'entite a authentifier mais on augmente 
de quelques unites seulement le nombre de bits de I'eJe- 
ment tire par I'entite authentifiante. 

Application aux procedes d'authentification dits a 
connaissance nulle. 
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PROCEDE D'AUTHENTIFICATION 
A NOMBRE REDUIT DE BITS TRANSMIS 

Domaine technique 

La presente invention a pour objet un 
Precede d • authentif ication a non*re reduit de bits 

cZT 1S \ Elle ^ ^ dans la 

cryptographie dite a ria „„,,, • 

■ Cle P ubl ique. Dans de tels 

procedes, une „ tlt « 4 authentic poss4de 

'• secrete et une els p ubllq ue assooiSe. Une entic , 
authenticate a undent besoin de „«. « 
PUblique pour realiser 1'authentification. 

encore 1. H L ' inVenti ° n "ncerne plus precise»ent 
encore le domaxne das procedes d • authentif ication a 
» ccnna.ssanca nuile rzero-fcnowiedae", . cala signTfia 

q :i i;T entification se d6rouie *™ » p~^fi. 

qui. de facon prouvee, et sous des hypotheses reconnues 
comroe parfaitement ralsonnables par l, ™ 
= ■ _ . " P ar la conununaute 

scientifique, ne revele rien sur r*i- 

20 1'entite a authentif ier . ^ ""^ de 

tou , , L ' ±nvention trouve une application dans 

tous les syst , mes n6cessitant d , authentifie 3 

entxtes ou des Usages, ou de S i gner des Usages, et 
bits transits constitue un paraznetre critique. 
Etat de la technique anterieure 

DanS tOUS les Protocoles connus 
d' identification' a connaissance nulle, 1-entiT a 
authentifier COItmence par fournir ^Ztitt 
authentxfiante un ou P l US ieur S "engagers" (noJes ! 

2si::T r T ent x) fonctions de ™— a« 

hasard par l'entite a authentif ier . 

Dans un deuxieme temps i. onH f 

authentlfiante envoie a l'entite A ti 

i entite a authentifier un 
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parametre ou "element" note e choisi au hasard (l a 
"question"). Dans un troisieme temps, l'entite a 
authentifier fournit a l'entite authentif iante un 
resultat correspondant y coherent avec le ou les 
engagement (s) x ou c. 

Dans ces applications, il est souvent 
important que le nombre total de bits transmis soit 
aussi petit que possible, afin notamment de reduire le 
temps de la communication et/ dans certaines variantes 
des protocoles de base (decrites plus loin) , de reduire 
le nombre de bits a stocker. 

Le but de 1' invention est de reduire de 
facon importante le nombre total de bits transmis dans 
la plupart des protocoles d ' identification connus, tout 
en conservant le meme niveau de securite. Pl us 
precisement, 1' invention minimise le nombre de bits 
transmis dans le sens ou, de facon prouvee, il est 
impossible de reduire encore ce nombre sans diminuer le 
niveau de securite fourni par le protocole auquel on 
1' applique. Pour certains protocoles (par exemple celui 
de FIAT-SHAMIR (1) C ette minimisation a un prix, a 
savoir 1' augmentation du nombre de secrets que l'entite 
a authentifier doit detenir, ainsi qu'une augmentation 
proportionnelle non negligeable du nombre de calculs a 
effectuer. Pour d'autres (notamment ceux de SCHNORR (3) 
et de GUILLOU-QUISQUATER (4)), cette minimisation 
n'aggrave de facon sensible aucune autre 
caracteristique et s'avere done particulierement 
interessante . 

A titre d'exemple, 1' invention permet 
d'economiser environ 18% des bits transmis dans le 
protocole d • identification de SCHNORR (3), pour des 
choix classiques de longueurs de parametres universels 
et de niveaux de securite. 
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De fagon generale, la plupart des 
protocoles d' identification a connaissance nulie 
existants, se deroulent en trois echanges, qui vont 
etre decrits . On suppose, afin de simplifier ia 
description, que l'entite authentif iante B connait deja 
tous les parametres publics caracteristiques de 
l'entite a authentif ier A (identite, cle publique, 
etc.) et necessaires a son identification. 

Lors du premier echange, A fournit a B un 
ou plusieurs engagements c. Lors du second echange, B 
envoie a A 1' element e. Lors du troisieme echange, A 
fournit a B le resultat y correspondant a 1' element e, 
coherent avec le ou les engagement ( s ) c. Dans certains 
protocoles, il y a deux echanges supplementaires entre 
A et B, consistant en un element et un resultat de 
plus. C'est le cas du protocole de Shamir (2). 

Le nombre u de questions possibles est 
directement relie au niveau de securite du protocole. 
Plus precisement, on peut montrer que, si le protocole 
repose sur un probleme mathematique difficile, et si 
les engagements sont de longueur suffisante (ou la 
longueur designe le nombre.de bits), alors le niveau de 
securite, que l T on definit ici coitime la probabilite de 
detection d'un imposteur (c 1 est-a-dire d f une entite C 
qui tente f rauduleusement de se faire passer pour A) , 
est egal a 1- (1/u) . 

Souvent, on cherche a rendre le nombre de 
bits transmis au cours du premier echange aussi faible 
que possible (les engagements sont aussi courts que 
possible) , de facon a reduire le temps et le cout de 
1 'authentif ication. Cependant, il peut etre demontre 
que la longueur d'un engagement ne peut etre choisie 
sous un certain seuil sans contrepartie, sauf a 
amoindrir le niveau de securite du protocole. Ce seuil 
depend de 1 f environnement et plus particulierement du 
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nombre d T operations elementaires repute "impossible en 
pratique" a executer en un temps et avec des moyens 
inf ormatiques se situant "a I'echelle humaine". De 
fagon traditionnelle, ce nombre est souvent pris egal a 
2 64 auquel cas le seuil evoque ci-dessus est d 1 environ 
128. Pour des raisons de commodite, c'est ce choix qui 
sera fait dans la description qui suit, mais cette 
description pourrait facilement etre adaptee a d'autres 
choix. 

Avec ce choix, la iimite des 128 bits pour 
c ne peut etre franchie sans nuire a la securite. En 
particulier, une longueur d 1 engagement de 64 bits 
seulement permet a 1 ' impos teur de (au minimum) doubler 
la probabilite de reussite de son imposture, et meme, 
dans certains cas, de rendre cette probabilite egale a 
1 . 

L ? invention permet de franchir la limite de 
128 bits pour ies engagements (jusqu'a environ 70 
bits), sans pour autant diminuer le niveau de securite. 
D'apres ce qui a ete expose plus haut, ceci est 
impossible si le reste du protocole est inchange : il y 
a done necessairement une contrepartie . L'interet de 
1 ' invention est que cette contrepartie est mineure : il 
suffit d 1 augmenter legerement le nombre u de questions 
possibles, ce qui, en pratique, se traduit par une 
augmentation de trois ou quatre bits de la longueur de 
e. 

Expose de l r invention 

L 1 invention consiste done a diminuer de 
facon importante la longueur des engagements (d 1 environ 
60 bits) et augmenter legerement la longueur des 
questions (de 3 ou 4 bits), le protocole modifie 
suivant. I 1 invention ayant exactement le meme niveau de 
securite que le protocole non modifie. 
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L 1 invention s f applique egalement aux 
schemas cT authentif ication de messages et 

eventuellement de .signatures numeriques de messages, 
sous certaines conditions explicitees par la suite. 

De fagon precise, 1 1 invention a pour objet 
un procede d T authentif ication a nombre reduit de bits 
transiais, entre une premiere entite dite a authentifier 
et une seconde entite dite authentif iante, ce procede 
comprenant les operations suivantes : 

a) l f entite a authentifier choisit au hasard un 
nombre entier r, calcule un nombre appele 
engagement x ou c fonction du nombre entier r et 
envoie cet engagement x ou c a 1' entite 
authentif iante, cet engagement comprenant un 
certain nombre de bits, 

b) l f entite authentif iante regoit 1' engagement x ou 
c, choisit au hasard un nombre e dans un certain 
intervalle, ce nombre etant appele "element" et 
ayant un certain nombre de bits et envoie cet 
element e a l 1 entite a authentifier, 

c) l f entite a authentifier regoit l 1 element e, 
effectue un calcul utilisant cet element e et 
envoie le resultat y a 1' entite authentif iante, 

d) 1' entite authentif iante regoit le resultat y, 
effectue un calcul utilisant le resultat y et 
verifie que le resultat de ce calcul est 
identique a 1' engagement regu x ou c auquel cas 
la premiere entite est authentifiee ; 

un niveau de securite egal a 1 - — - pouvant etre 

T 

defini pour cette authentif ication, a supposer que 
1 1 engagement x ou c possede un certain nombre minimum N 
de bits et 1' element e un certain nombre k de bits, 
ce procede etant caracterise par le fait que : 
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le nombre de bits de 1 ? engagement x ou c est pris 
tres inferieur a N ; 

le nombre de bits de 1' element e est pris un peu 
superieur a k ; 
5 le niveau de securite restant alors le meme . 

Expose detaille de modes de realisation 

La definition precedente de 1' invention 
s f applique notamiuent a trois protocoles connus, qui 
10 vont maintenant etre decrits a titre d'exemples non 
limitatifs, a savoir, respectivement , le protocole de 
SCHNORR, celui de GUILLOU-QUISQUATER et celui de FIAT- 
SHAMIR. 

15 1) PROTOCOLE DE SCHNORR 

Le protocole d 1 identification de CP. 
SCHNORR (3) est base sur la difficulty de calculer des 
logarithmes discrets. Les parametres universels (c'est- 
a-dire ceux partages par tous les utilisateurs ) sont : 
20 - un grand nombre premier p, 

- un nombre premier q tel que g soit un nombre 

premier divisant p-1 ou soit egal a p-1, 

- un entier a (la "base") tel que 0^=1 (mod p) , 

- un petit entier k. 

25 

Les longueurs recommandees pour n et q sont 
respectivement (au moins) de 512 bits et 140 bits ; k 
determine le nombre u de questions possibles par la 
relation u=2^. Une valeur typique de k est 40 (ou 72 
30 pour le schema de signature correspondant ) . 

La cle secrete d'un utilisateur est un 
entier s pris dans l f intervalle {l...qr}. Sa cle 
publique est v=a~ s (mod p) . Le protocole est le 
suivant : 
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a) L'entite a authentif ier choisit au hasard un 
entier r dans l'intervalle {l..*g}, calcule 

x=a r (mod p) et envoie x au verif icateur . 

b) L'entite authentif iante choisit au hasard un 
element e dans l'intervalle {0...2*-l} et envoi e 
e a l'entite a authenti f ier . 

c) L'entite a authentifier calcule y=r+se(mod q) et 
envoie y a l'entite authentif iante. 

d) L'entite authentif iante controle que 
x=o.Yv e (mod p) . 

On remarque qu ' un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 
une probability egale a 2~ k , en choisissant un entier 
y, un element e et en calculant x comme a l'etape d) . 
Comme on peut prouver que, si le probleme du logarithme 
discret est difficile, il ne peut substantiellement 
ameliorer cette probabilite, le niveau de securite est 
done egal a l-2~^. 

Afin de diminuer le nombre de bits 
transrais, l'auteur du protocole a suggere d'envoyer a 
l'etape a) 1 ' engagement c=h{x) ou h est une fonction 
pseudo-aleatoire . L' equation de verification de l'etape 
d) devient alors : 

c=h {aV^ (mod p) ) , 
Afin de conserver un niveau de securite 
egal a 1-2"^, il est necessaire, toutes choses egales 
par ailleurs, que la longueur de c soit au moins de 128 
bits . 

Dans le protocole modifie selon 
l f invention, la longueur de 1 1 engagement de c est 
reduite par exemple a 70 bits et cette reduction est 
compensee par une augmentation de la longueur de e de 
trois bits seulement. Une autre possibilite est de 
choisir 69 bits pour c et quatre bits d' augmentation 
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pour e. II peut alors etre demontre que le niveau de 
securite du protocole ainsi modifie reste egal a 1-2"^. 
On a ainsi reduit le nombre total de bits transmis de 
55 bits. Si l'on prend £=40, alors ce nombre total est 
5 egal a : 70+ ( 40 + 3 ) +1 60=273 au lieu de 128 + 40+160=328 
avec des engagements de 128 bits, soit un . gain 
d' environ 18%, 

L' invention est particulierement bien 
adaptee a ce protocole, en ce sens qu'elle n'entraine 

10 aucun changement des parametres universels principaux, 
a savoir p, q, a, ni meme des parametres individuels 
(cles secrete et publique de 1 ' utilisateur ) . De plus, 
elle est particulierement utile dans un mode 
d ' utilisation particulier de ce protocole, qui consiste 

15 a stocker par avance les engagements. Ce mode 
d 1 utilisation est utilise lorsque le dispositif de 
securite de l'entite a authentifier ne dispose pas des 
ressources lui permettant d'effectuer des operations 
modulo un nombre de 512 bits (premier cas), ou bien les 

20 effectue en un temps trop eleve pour que l'etape a) 
puisse etre executee au moment meme de 
1 1 authentif ication (deuxieme cas). 

Dans le premier cas, les engagements sont 
calcules par une autorite de confiance puis stockes 

25 dans la carte : le dispositif ne peut alors etre 
authentif ie qu'un nombre limite de fois, egal au nombre 
d f engagements stockes. Cependant, lorsque ce nombre est 
atteint, il peut, par une procedure de rechargement 
d f engagements (eventuellement a distance), etre a 

30 nouveau capable d'effectuer des authentif ications . Dans 
le deuxieme cas, les engagements sont calcules par le 
dispositif de l'entite a authentifier prealablement a 
1 1 authentif ication . Dans les deux cas, afin de ne pas 
avoir a stocker les nombres aleatoires r 

35 correspondants, ces nombres sont avantageusement 
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produits par un generateur pseudo-aleatoire contenu 
dans le dispositif de securite de l'entite a 
authentif ier . 



securite de l'entite a authentif ier est une carte a 
microprocesseur standard, alors l'etape a) ne peut etre 
realisee en un temps satisf aisa-nt par la carte et meme, 
dans certains cas, ne peut etre realisee du tout. II 
est alors necessaire de recourir au mode d ' utilisation 
evoque ci-dessus, et il est tres avantageux d'utiliser 
1' invention, qui ne requiert que le stockage de 70 bits 
pour une authentif ication. Si l'on peut disposer de 
IKoctet de memoire reprogrammable a cette fin, alors la 
carte pourra effectuer 117 authentif ications, apres 
quoi il faudra recharger de nouvelles valeurs 
d r engagements . 

Cette variante est encore plus interessante 
dans le cas du protocole decrit dans la dernande de 
brevet frang:ais n°94 01271 du 4 fevrier 1994 intitulee 
"Procede de signature numerique et d 1 authentif ication 
de messsages utilisant un logarithme discret", car, 
dans ce protocole, l'etape c) ne contient pas 
d 1 operation modulo, ce qui fait que ce type d 1 operation 
n'a pas besoin d'etre realisee dans la carte a 
microprocesseur . 

2) PROTOCOLE GUILLOU-QUISQUATER 

Le protocole d ' identification de GUILLOU et 
QUISQUATER (4) est base sur la difficulty de factoriser 
des grands entiers. Dans la version dite "basee sur 
I'identite" de ce protocole, une autorite de confiance 
est utilisee pour calculer les cles secretes des 
utilisateurs . Les parametres universels sont : 



A titre d f 



exemple, si le dispositif de 
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- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autorite de 
confiance) , 

- un entier premier u de nombre de bits k. 

5 La taille recommandee pour n est au minimum 

de 512 bits. Une valeur typique de k est 40 bits (ou 72 
pour le schema de signature cprrespondant ) . 

La cle publique de l'entite a authentifier 
est sont "identite" (c ' est-a-di re une chalne binaire J 
10 contenant des informations a son propos et/ou a propos 
de son dispositif de securite) . Sa cle secrete est la 
valeur s telle que s u I=l (mod n) . 

Le protocole de base est le suivant : 

a) L'entite a authentifier choisit au hasard un 
15 entier r dans I'intervalle {0..n}, calcule 

x=r u (mod n) et envoie x a l'entite 
authentif iante, 

b) l'entite authentif iante choisit au hasard un 
element e dans I'intervalle {0, u-1} et envoie e 

20 a l'entite a authentifier, 

c) l'entite a authentifier calcule y=rs e (mod n) et 
envoie y a l'entite authentif iante, 

d) l'entite authentif iante controle que : 

x=y u I e (mod n) . 

25 

On remarque qu'un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 
une probabilite egale a 1/u, en choisissant un entier 
y, un element e et en calculant x comme dans 1'etape d. 
30 Comme on peut prouver que, si le probleme de la 
factorisation est difficile, il ne peut 

substantiellement ameliorer cette probabilite, le 
niveau de securite est done egal a l-(l/u), qui est de 
l'ordre de 1-2"^. 
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Afin de diminuer le nombre de bits 
transmis, on peut envoyer a I'etape a) 1 T engagement 
c~h(x) ou h est une fonction pseudo-aleatoire . 
L' equation de verification de I'etape d) devient 
5 alors : 

c~h (y u I e (mod n) . 
Afin de conserver un niveau de securite du 
protocole de base egal a l~2~ k , il est necessaire, 
toutes choses egales par ailleurs, que la longueur de c 
10 soit au moins de 128 bits. 

Dans le protocole modifie selon 
1 1 invention, la longueur de c est reduite par exemple a 
70 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
15 seulement, ce qui implique une augmentation d'autant de 
la longueur de u. Une autre possibility est de choisir 
69 bits pour c et quatre bits d 1 augmentation pour e. II 

\ 

peut alors etre demontre que le niveau de securite du 
protocole de base ainsi modifie reste egal a l-2~*. On 

20 a ainsi reduit le nombre total de bits transmis de 55 
bits. Si l'on prend £=40, alors ce nombre total est 
egal a 70+ (40+3) +512=625 au lieu de 128 + 40+512=680 avec 
des engagements de 128 bits, soit un gain d r environ 8%. 

Les variantes decrites dans le cas du 

25 protocole de SCHNORR sont encore applicables ici, mais 
sont moins interessantes en ce sens que I'etape c) 
consiste en une operation modulaire importante qui, 
contrairement a celle de I'etape a), ne peut etre 
effectuee a I'avance. 

30 

3°) PROTOCOLE FIAT-SHAMIR 

Le protocole d f identification de FIAT et 
SHAMIR (1) est base sur la difficulty de factoriser des 
grands entiers. Dans la version dite "basee sur 
35 l'identite" de ce protocole, une autorite de confiance 
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est utilisee pour calculer les cles secretes des 
utilisateurs . Les parametres universels sont : 

- un grand entier non premier n (dont les facteurs 
premiers sont connus uniquement de l'autorite de 

5 conf iance) , 

- deux petits entiers k et t, 

- une fonction pseudo-aleatoire f. 

La taille recommandee pour n est au minimum 
de 512 bits. Les valeurs de k et t sont etroitement 
10 reliees au niveau de securite du protocole (comme il 
sera decrit plus loin) ; le nombre u de questions 
possibles et le parametre k sont relies par la relation 
u=2*. Des valeurs typiques de k et t sont 8 et 5 (ou 9 
et 8 pour le schema de signature correspondant ) . 
15 La cle publique de I'entite a authentifier 

est son "identite" (c'est-a-dire une chaine binaire I 
contenant des informations a son propos et/ou a propos 
de son dispositif de securite) . Sa cle secrete est 
constituee de k valeurs sj calculees comme suit : soit 
20 vj=f(Ij) pour k petites valeurs de j telles que vj est 
un carre dans 1' ensemble des entiers modulo n (pour la 
commodite de la description, on supposera que j=l..Jt). 
Alors Sj 2 Vj=l (mod n) pour toute valeur de j. 

Le protocole de base est le suivant : 
25 a) I'entite a authentifier choisit au hasard un 

entier r dans I'intervalle {0..n}, calcule 
x=r 2 (mod n) et envoie x a I'entite 
authentif iante, 

b) I'entite authentif iante choisit au hasard un 
30 element e=(e 2 , e2, - e^) dans {0,1}^ et envoie 

e a I'entite a authentifier, 

c) I'entite a authentifier calcule y=rj^ sj (mod n) 

et envoie y a I'entite authentif iante, 
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d) l'entite authentif iante calcule tous les Vj et 
controle que : x=y 2 J~[ vj (mod n) . 

On remarque qu f un imposteur (qui ignore s) 
peut facilement tromper une entite authentif iante avec 
5 une probability egale a 2~ k , en choisissant un entier 
y, un element e et en calculant x comme dans l'etape 
d) . Comine on peut prouver que, si le probleme de la 
factorisation est difficile, il ne peut 

substantiellement ameliorer cette probability, il 

10 suffit de repeter t fois le protocole de base pour 
obtenir un niveau de securite egal a 1- (1/u) t =l-2"^ ct . 

Afin de diminuer le nombre de bits 
transmis, les auteurs du protocole ont suggere 
d'envoyer a l'etape a) 1 ' engagement : c=h(x) ou h est 

15 une fonction pseudo-aleatoire . L 1 equation de 
verification de l'etape d) devient alors : 
c=Ji(y 2 J~[ Vj (mod n) ) 

e 3 = l 

Afin de conserver un niveau de securite 
du protocole de base egal a l~2~ k , il est necessaire, 
20 toutes choses egales par ailleurs, que la longueur de c 
soit au moins de 128 bits, 

Dans le protocole modifie selon 
1 ? invention, la longueur de c est reduite par exemple a 

25 70 bits et cette reduction est compensee par une 
augmentation de la longueur de e de trois bits 
seulement. Une autre possibility est de choisir 69 bits 
pour c et quatre bits d 1 augmentation pour e. II peut 
alors etre demontre que le niveau de securite du 

30 protocole de base ainsi modifie reste egal a l-2~*. On 
a ainsi reduit le nombre total de bits transmis de 55 
bits. Si 1 1 on prend k-B et t=5, alors ce nombre total 
est egal a : 70+ ( 8 + 3) +512 = 593 au lieu de 128 + 8 + 512 = 648 
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avec des engagements de 128 bits, soit un gain 
d f environ 8,5%. 

Cependant, un inconvenient de 1 ! invention 
appliquee a ce protocole d T identification est qu'elle 
5 implique un plus grand nombre de secrets, puisque la 
longueur de e est precisement egale a ce nombre, a 
savoir k. De plus, ie nombre de multiplications 
supplementaires a effectuer par chacune des entites 
augmente proportionnellement de fagon importante, et ce 
10 d f autant plus que k est choisi petit. Ainsi, 
l f invention comporte-t-elle dans ce cas des avantages 
et des inconvenients . 

L' invention qui vient d'etre decrite porte 

15 sur une authentif ication d'entite. Mais 1' invention, 
s* applique a d'autres schemas comme 1 ' authentif ication 
de messages et la signature numerique de messages. 

Dans les schemas d ' authentif ication de 
messages et de signature numerique de messages, 

20 I'entite a authentif ier, en plus de prouver son 
identite, attache cette identite a un message donne. 
Cela se passe de maniere interactive dans les schemas 
d' authentif ication de message et de maniere non 
interactive dans les schemas de signature de message. 

25 L' invention est susceptible de s'appliquer surtout aux 
schemas d T authentif ication de messages derives de 
protocoles d ! identification a connaissance nulle (en 
particulier les trois protocoles precites) . 

Le fait que 1* invention s 1 applique ou non a 

30 ces schemas depend de la fagon exacte dont ils sont 
derives du protocole d' identification initial. La fagon 
classique consiste a faire figurer le message M dans 
les parametres y de la fonction pseudo-aleatoire h, ce 
qui donne : 

35 c=h(x,M) au lieu de c=h(x). 
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Dans les schemas d 1 authentif ication de 
messages, le reste du protocole ne differe pas, a 
1 T adaptation evidente pres de 1' operation d) de 
verification. Dans les schemas de signature, pour 
lesquels l'entite signataire n'intervient pas dans les 
etapes a) et b) , on choisit e=c, ce qui, a priori, 
enleve de 1'interet a 1 T invention. Pour les deux types 
de schemas, il y a de toute facon la crainte que, si c 
est inferieur a 128 bits, alors l'entite a authentifier 
ne soit capable, pour un nombre >; issu du protocole, de 
trouver deux messages distincts M et M ' aboutissant a 
la meme valeur de c . 

Si 1 1 on se trouve dans un environnement ou 
l'on n'a pas cette crainte (soit que la mise en oeuvre 
du protocole dans le dispositif de securite rende cette 
attaque impossible, soit que l'on considere que les 
entites a authentifier sont dignes de confiance soit 
encore qu'une telle attaque serait sans interet pour 
eux) , alors l 1 invention s T applique. 

De fagron generale, 1 T application de 
1' invention a d'autres schemas que des protocoles 
d' identification est possible, mais depend des 
specifications exactes de ces schemas ainsi que de leur 
realisation pratique. 

A titre d'exemple, le schema 

d' authentif ication de message derive du protocole de 
SCHNORR est le suivant : 

a) l'entite a authentifier choisit au hasard un 
entier r dans {l..g}, calcule x=a r (mod p) , puis 
c=h(x,AT) et envoie c a l'entite authentif iante, 

b) l'entite authentif iante choisit au hasard un 
element e dans {0..2*-l} et l f envoie a l'entite a 
authentifier, 

c) l'entite a authentifier calcule y=r+se (mod g) et 
envoie y a l'entite authentif iante, 
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d) l'entite authentif iante controle que : 
c=h (ay (mod p) ,M) . 

Dans un environnement ou ce schema peut 
etre modifie selon 1* invention, alors le gain est 
exactement le . * meme que pour le protocole 
d 1 identification modifie. 
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RE VEND I CAT IONS 

1. Procede d 1 authentif ication a nombre 
reduit de bits transmis, entre une premiere entite dite 
a authentifier et une seconde entite dite 
authentif iante, ce procede comprenant les operations 
suivantes : 

a) l f entite a authentifier choisit au hasard un 
(des) parametre(s) r, calcule un (des) nombre (s) 
appele(s) engagement { s ) c fonction(s) du (des) 
parametre(s) r et envoie cet (ces) engagement (s) 
c a 1 T entite authentif iante, cet (ces) 
engagement (s ) comprenant un certain nombre de 
bits, 

b) 1' entite authentif iante recoit le (ou les) 
engagement (s) c, choisit au hasard un nombre e 
dans un certain ensemble, ce nombre etant appele 
"element" et ayant un certain nombre de bits et 
envoie cet element e a l f entite a authentifier, 

c) 1 T entite a authentifier recoit 1 1 element e, 
effectue un (des) calcul(s) utilisant cet element 
e et envoie le (les) resultat (s) y a 1' entite 
authentif iante, 

d) 1' entite authentif iante recoit le resultat y, 
effectue un calcul utilisant le (les) resultat (s) 
y et verifie que ce calcul redonne le (les) 
engagement (s) recu(s) c auquel cas la premiere 
entite est authentifiee ; 

un niveau de securite egal a 1 - — pouvant etre 

u 

defini pour cette authentif ication, a supposer que le 
(les) engagement (s) c possede(nt) un certain nombre 
minimum N de bits et que 1 T element e fait partie d T un 
certain ensemble a u elements et possede un certain 
nombre k de bits, 
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ce procede etant caracterise par le fait que : 

le nombre de bits de (des) engagement (s) c est 
pris tres inferieur a N ; 

1' ensemble dans lequel est choisi 1' element e est 
5 pris un peu plus grand, ce qui se traduit par un 

nombre de bits de 1' element e un peu superieur a 
k ; 

le niveau de securite restant alors le meme. 

2. Procede d 1 authentif icat ion selon la 
10 revendication 1, comprenant les operations suivantes : 

a) . l'entite a authentif ier choisit au hasard un 

entier r compris entre 1 et un nombre q et cal- 
cule un nombre x egal a a r (modulo p) ou a est' un 
entier appele base tel que = 1 (modulo p) , et 

15 ou g est soit un nombre premier divisant p-1 soit 

egal a p-1 ou p est un grand nombre premier ; 
l'entite a authentif ier envoie une fonction 
c=h(x) du nombre x ou h est une fonction 
pseudo-aleatoire) , le nombre envoye c constituant 

20 1 1 engagement , 

b) , l'entite authentif iante B choisit au hasard un 

element e ayant un certain nombre de bits et 
envoie cet element a l'entite a authentif ier , 

c) . l'entite a authentif ier calcule un nombre y egal 
25 a r + s.e (modulo q) , ou s est la cle secrete de 

l'entite a authentif ier , s etant un entier 
compris entre 1 et q, et envoie le nombre y a 
1 1 entite authentif iante, 

d) . l'entite authentif iante regoit le nombre y, 
30 calcule aY v e (modulo p) ou v est la cle publique 

de l'entite a authentif ier, soit \n=a~ s (modulo p) 
et verifie c=h(ayv e modulo p) ) ; 

un niveau de securite egal a 1 - -r- pouvant etre defini 

2 K 

en supposant pour 1' engagement c un nombre minimum de 
35 bits egal a 128 et pour 1' element e un nombre de bits 
egal a k, 
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le procede etant caracterise par le fait que le nombre 
de bits de 1 r engagement c est inferieur a 128 de 
plusieurs dizaines d'unites et le nombre de bits de 
1 T element e est superieur de quelques unites au nombre 
5 k, le niveau de securite restant le meme. 

3. Procede d 1 authentif ication selon la 
revendication 2, caracterise par le fait que le nombre 
de bits de 1* engagement c est voisin de 70 et le nombre 
de bits de l f element e est voisin de 43, le niveau de 

10 securite obtenu etant le meme qu 1 avec un engagement c 
de 128 bits et un element e de 40 bits. 

4. Procede d 1 authentif ication selon la 
revendication 2, caracterise par le fait que, dans 
1' operation c) l'entite a authentif ier calcule un 

15 nombre y egal a r + se. 

5. Procede d' authentif ication selon la 
revendication 1 dans lequel : 

a). l'entite a authentifier choisit au hasard un 
entier r compris entre 0 et n, ou n est un grand 

20 entier non premier et calcule x = r u (modulo n) 

ou u est un entier ayant une certaine longueur et 
envoie a l'entite authentif iante le nombre c=h(x) 
ou h est une fonction pseudo-aleatoire, le nombre 
envoye c constituant 1 1 engagement . 

25 b) • l'entite authentif iante choisit au hasard un 
element e compris entre 0 et u-1 et envoie e a 
l'entite a authentifier, 
c) . l'entite a authentifier calcule y=rs e (modulo n) 
ou s est la cle secrete de l'entite a 

to authentifier telle que s u J=l (modulo n) , ou I est 

la cle publique de l ! entite a authentifier, et 
l'entite a authentifier envoie le nombre y a 
l'entite authentif iante, 
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d) . l'entite authentif iante regoit le nombre y, 
calcule h (y u I e modulo n) ) et verifie que I'on 
retrouve 1 ' engagement/ 

un niveau de securite egal a 1 - pouvant etre defini 

5 en supposant pour 1' engagement c un nombre minimum de 
bits (N) egal a 128 et en supposant pour 1' element e un 
nombre de bits egal a k, 

ce procede etant caracterise par le fait que le nombre 
de bits de l f engagement c est inferieur a 128 de 
10 plusieurs dizaines d'unites, et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de securite restant le meme. 

6. Procede d ? authentif ication selon la 
revendication 5, caracterise par le fait que le nombre 

15 de bits de l 1 engagement c est voisin de 70 et le nombre 
de bits de 1' element e voisin de 43, le niveau de 
securite obtenu etant le meme qu'avec un engagement de 
128 bits et un element e de 40 bits. 

7. Procede d' authentif ication selon la 
20 revendication 1, comprenant les operations suivantes : 

a) , l'entite a authentif ier choisit au hasard un 

entier r compris entre 0 et n oil n est un grand 
entier non premier, calcule x-r 2 (modulo n) et 
envoie a l'entite authentif iante le nombre c-h(x) 
25 ou h est une fonction pseudo-aleatoire, le nombre 

envoye c constituant 1 1 engagement , 

b) . l'entite authentif iante choisit au hasard un 

element e comprenant un certain nombre de bits et 
envoie e a l'entite a authentif ier , 

30 c) . l'entite a authentif ier calcule le produit par r 
d'un produit de valeurs sj ou 1' ensemble des Sj 
pour toute valeur de j constitue la cle secrete 
de l'entite a authentif ier , et l'entite a 
authentifier envoie le resultat y de ce calcul a 

35 l-'cr^tite authentif iante, 
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d) . l'entite authentif iante calcule la valeur du 
produit par y 2 du produit des vj (modulo n) , 
applique au resultat ainsi trouve la fonction h 
et verifie que le resultat trouve s'identifie a 
1 ' engagement c, 

un niveau de securite egal a pouvant etre defini a 

supposer, pour 1' engagement c, un nombre minimum de 
bits egal a 128 et pour 1' element e un nombre de bits 
egal a k, en repetant t fois les operations a) ad), 
ce precede etant caracterise par le fait que le nombre 
de bits de 1' engagement c est inferieur a 128 de 
plusieurs dizaines de bits et le nombre de bits de 
1' element e est superieur de quelques unites au nombre 
k, le niveau de securite restant le meme. 

8. Precede d' authentif ication selon la 
revendication 7, caracterise par le fait que le nombre 
de bits de 1 1 engagement c est voisin de 70, le nombre k 
de bits de 1 T element e voisin de 11 et le nombre t 
voisin de 5. 

9. Procede d f authentif ication selon 1'une 
quelconque des revendications 1 a 7, caracterise par le 
fait que l'entite authentif iante effectue en outre une 
authentif ication d'un message M emis par l'entite a 
authentif ier, l'entite a authentif ier calculant dans 
l f operation a un engagement c egal a h(x,M) oil M est le 
message a authentif ier, et l'entite authentif iante 
verifiant, dans l 1 operation d) que la fonction h du 
calcul qu'elle effectue et du message M qu'elle a recu 
est identique a 1 1 engagement c. 

10. Procede selon la revendication 1, 
caracterise par le fait qu'il comprend des echanges 
supplementaires entre la premiere et la seconde entites 
consistant chacun en 1 1 echange d'un element e 
supplementaire et d'un resultat y supplementaire . 
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